Nowy Sącz: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową
Numer ogłoszenia: 100949 - 2008; data zamieszczenia: 14.05.2008
OGŁOSZENIE O ZAMÓWIENIU - dostawy

Zamieszczanie ogłoszenia: obowiązkowe.

Ogłoszenie dotyczy: zamówienia publicznego.

SEKCJA I: ZAMAWIAJĄCY

I. 1) NAZWA I ADRES: Powiat Nowosądecki, Zarząd Powiatu Nowosądeckiego, ul. Jagiellońska 33, 33-300 Nowy Sącz, woj. małopolskie, tel. 018 4141600, fax 018 4141700.

• Adres strony internetowej zamawiającego: www.starostwo.nowy-sacz.pl

I. 2) RODZAJ ZAMAWIAJĄCEGO: Administracja samorządowa.

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) OPIS

II.1.1) Nazwa nadana zamówieniu przez zamawiającego: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową.

II.1.2) Rodzaj zamówienia: dostawy.

II.1.3) Określenie przedmiotu oraz wielkości lub zakresu zamówienia: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową. Urządzenia Wymogi odnośnie urządzeń: Urządzenia dostarczone wraz z opcją 3 letniego serwisu gwarantującego dostarczanie nowych wersji oprogramowania, nowych sygnatur dla systemu IPS/IDS oraz antywirusa przez 36 miesięcy od momentu dostarczenia urządzenia. W ramach serwisu dostawca zobowiązany jest do wymiany urządzenia w przypadku jego uszkodzenia w terminie do 14 dni od daty zgłoszenia awarii. Urządzenie musi posiadać zintegrowaną architekturę bezpieczeństwa obejmującą następujące funkcje: ZAPORA KORPORACYJNA (Firewall) 1) Firewall klasy Stateful Inspection. 2 )Urządzenie obsługuje translacje adresów NAT, PAT, 1-PAT. 3 )Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł na firewallu. 4) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł na firewallu określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu. 5) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł na firewallu. 6) Urządzenie daje możliwość ustawienia trybu pracy jako router warstwy trzeciej lub jako bridge warstwy drugiej lub hybrydowo (część jako router a część jako bridge). 7) Narzędzie do konfiguracji firewalla powinno umożliwiać tworzenie odpowiednich reguł przy użyciu prekonfigurowanych obiektów. Przy zastosowaniu takiej technologii osoba administrująca ma możliwość określania parametrów pojedynczej reguły (adres źródłowy, adres docelowy etc.) przy wykorzystaniu obiektów określających ich logiczne przeznaczenie. 8) Edytor reguł na firewallu posiada wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie nieistniejących elementów (obiektów). 9) W domyślnej konfiguracji urządzenie (a dokładniej Firewall) powinien blokować wszystkie połączenia poza połączeniami administracyjnym od strony sieci lokalnej (LAN). 10) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł dla translacji adresów (NAT). 11) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł dla NAT określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu. 12) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł dla NAT. 13) Edytor reguł dla NAT posiada wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie nieistniejących elementów (obiektów). 14) Firewall umożliwia uwierzytelnienie i autoryzację użytkowników w oparciu o bazę lokalną, zewnętrzny serwer RADIUS lub LDAP (wewnętrzny i zewnętrzny) lub przy współpracy z uwierzytelnieniem Windows NT4.0 (NTLM) i Windows 2k (Kerberos). INTRUSION PREVENTION SYSTEM (IPS) 1) System detekcji i prewencji włamań (IPS) jest zaimplementowany w jądrze systemu i wykrywa włamania oraz anomalia w ruchu sieciowym przy pomocy analizy protokołów, analizy heurystycznej oraz analizy w oparciu o sygnatury kontekstowe. 2) Administrator musi mieć możliwość wyłączenia analizy protokołów oraz analizy w oparciu o sygnatury kontekstowe dla wybranych połączeń. 3) IPS powinien być konfigurowalny na poziomie reguł dla firewalla. Cecha ta ma umożliwiać wykorzystanie harmonogramu dla firewalla w celu użycia tego samego harmonogramu dla IPS. 4) Dla ustawień IPS możliwe jest skonfigurowanie co najmniej 4 profili ustawień. Przy czym w domyślnej konfiguracji jeden profil jest ustawiony automatycznie dla połączeń wychodzących, a drugi dla połączeń przychodzących. KSZTAŁTOWANIE PASMA (Traffic Shapping) 1 )Urządzenie ma możliwość kształtowania pasma w oparciu o priorytezację ruchu. 2) Urządzenie ma możliwość kształtowania pasma w oparciu o minimalną i maksymalną wartość dostępnego pasma. 3) W przypadku określania minimum lub maksimum pasma administrator może określić żądane wartości podając je w kb, Mb lub wartości procentowe. 4 )Ograniczenie pasma lub priorytezacja określana jest względem reguły na firewallu w odniesieniu do pojedynczego połączenia, adresu IP lub autoryzowanego użytkownika. 5) Rozwiązanie ma umożliwiać tworzenie tzw. kolejki nie mającej wpływ na kształtowanie pasma a jedynie na śledzenie konkretnego typu ruchu (monitoring). 6) Kształtowanie pasma powinno odbywać się na poziomie reguł dla Firewalla. Cecha ta ma umożliwiać wykorzystanie harmonogramu dla firewalla w celu użycia tego samego harmonogramu dla kształtowania pasma. OCHRONA ANTYWIRUSOWA 1) Rozwiązanie pozwala na zastosowanie jednego z co najmniej dwóch skanerów antywirusowych dostarczonych przez firmy trzecie (innych niż producent rozwiązania). 2) Co najmniej jeden z dwóch skanerów antywirusowych dostarczony jest w ramach podstawowej licencji. 3) Skaner antywirusowy skanuje ruch poprzez mechanizm Proxy. Skanowane są protokoły HTTP, POP3, SMTP. 4) Dla każdego z trzech Proxy (HTTP, POP3, SMTP) administrator ma możliwość stworzenia minimum 4 profili ustawień. OCHRONA ANTYSPAM 1) Producent udostępnia mechanizm klasyfikacji poczty elektronicznej określający czy jest pocztą niechcianą (SPAM).Ochrona antyspam działa w oparciu o: Białe/czarne listy DNS RBL Moduł analizy heurystycznej 2) W przypadku ochrony w oparciu o DNS RBL administrator może modyfikować listę serwerów RBL lub skorzystać z domyślnie wprowadzonych przez producenta serwerów. 3) Dla każdego z serwerów RBL można określić jeden z 3 poziomów reputacji. 4) W przypadku określenia poczty jako SPAM administrator może określić tekst (Tag), który zostanie dodany do tematu wiadomości. 5) Urządzenie powinno mieć możliwość dodawania własnego wpisu do nagłówka wiadomości zawierającego informację o tym czy wiadomość została zaklasyfikowana jako spam. 6) Wpis w nagłówku wiadomości powinien być w formacie zgodnym z formatem programu Spamassassin. WIRTUALNE SIECI PRYWANTE (VPN) 1) Urządzenie powinno posiadać wbudowany serwer VPN umożliwiający budowanie połączeń VPN typu client-to-site (klient mobilny - lokalizacja) lub site-to-site (lokalizacja-lokalizacja). 2) Odpowiednio kanały VPN można budować w oparciu o: PPTP VPN IPSec VPN SSL VPN 3) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguł dla VPN. 4) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł dla VPN określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu. 5) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł na VPN. FILTR ADRESÓW URL 1) Urządzenie powinno posiadać wbudowany filtr URL. 2) Filtr URL powinien działać w oparciu o: klasyfikacje adresów URL dostarczoną przez producenta. klasyfikacje adresów stworzoną przez administratora. klasyfikacje firmy trzeciej (opcjonalnie) 3) Moduł filtra URL, wspierany przez HTTP PROXY, musi być zgodny z protokołem ICAP. 4) Baza adresów URL musi być przechowywana lokalnie w pamięci urządzenia. 5) Administrator posiada możliwość zdefiniowania akcji w przypadku zaklasyfikowania danej strony do konkretnej kategorii. Do wyboru jest jedna z trzech akcji: Blokowanie dostępu do adresu URL. Zezwolenie na dostęp do adresu URL. Blokowanie dostępu do adresu URL oraz wyświetlenie strony HTML zdefiniowanej przez administratora. 6) Administrator ma możliwość zdefiniowania minimum 10 różnych zestawów reguła dla filtrowania URL. 7) Administrator ma możliwość zdefiniowania harmonogramu dla minimum 10 różnych zestawów reguł dla filtrowania URL określający dzień tygodnia, godzinę w jakich nastąpi automatyczne uruchomienie konkretnego zestawu. 8) Harmonogram filtrowania adresów URL powinien być niezależny od harmonogramu dla firewalla. 9) Oprogramowanie dostarczone przez producenta posiada graficzny edytor konfiguracji harmonogramu reguł dla filtra URL. 10) Edytor reguł dla filtra URL posiada wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie nieistniejących elementów (obiektów). UWIERZYTELNIANIE 1) Urządzenie powinno pozwalać na uruchomienie systemu uwierzytelniania użytkowników w oparciu o: lokalną bazę użytkowników (wewnętrzny LDAP), zewnętrzną bazę użytkowników (zewnętrzny LDAP) , integracje z serwerem Microsoft Active Directory. 2) rozwiązanie pozwala na uruchomienie specjalnego portalu, który umożliwia autoryzacje w oparciu o protokoły: SSL Radius NTLM Kerberos 3) Autoryzacja może zostać włączona na: Zewnętrznym interfejsie (od strony sieci Internet) Wewnętrznym interfejsie (od strony sieci LAN) Jednocześnie na wewnętrznym jak i zewnętrznym interfejsie. ADMINISTRACJA ŁĄCZAMI OD DOSTAWCÓW USŁUG INTERNETOWYCH (ISP). 1) Urządzenie musi posiadać wsparcie dla mechanizmów równoważenia obciążenia łączy do sieci Internet (tzw. Load Balancing). 2) Mechanizm równoważenia obciążenia łącza internetowego musi działać w oparciu o następujące dwa mechanizmy: równoważenie względem adresu źródłowego. równoważenie względem adresu docelowego. 3) Urządzenie musi posiadać mechanizm przełączenia na łącze zapasowe w przypadku awarii łącza podstawowego. 4 )Administrator ma możliwość zdefiniowania minimalnej liczby aktywnych łączy podstawowych poniżej której nastąpi przełączenie na łącza zapasowe. 5) Urządzenie posiada możliwość definiowania przynajmniej 4 rodzajów połączeń typu Dial-up włączając w to: PPPoE, PPTP, PPP, L2TP. ADMINISTRACJA URZĄDZENIEM 1) Producent dostarcza w podstawowej licencji oprogramowania narzędziowe, które umożliwia: lokalną oraz zdalną konfigurację i administrację, lokalny oraz zdalny podgląd pracy urządzenia (tzw. monitoring w trybie rzeczywistym), umożliwiający zarządzanie, analizę i prostą interpretację logów, zarządzanie więcej niż jednym urządzeniem (centralna administracja). 2) Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi być szyfrowana. 3) Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi odbywać się po porcie innym niż tcp 80, tcp 443 (http, https). 4) Urządzenie może być zarządzane przez dowolną liczbę administratorów, którzy posiadają rozłączne lub nakładające się uprawnienia 5) Urządzenie musi być w pełni zarządzane przez oprogramowanie stworzone i dostarczone przez producenta (Windows 2000/XP/2003/Vista). Dodatkowo administracja musi być możliwa przy wykorzystaniu linii poleceń (przez SSH lub przy wykorzystaniu portu SERIAL). 6) Urządzenie jest dostępne wraz z konsolą do centralnej administracji pozwalającą na zarządzanie przynajmniej 5 urządzeniami w różnych lokalizacjach w podstawowej cenie urządzenia. 7) Urządzenie ma możliwość eksportowania logów na zewnętrzny serwer (syslog). 8) Urządzenie dostarczane jest z oprogramowaniem do generowania kompleksowych raportów z jego działania. Program generujący raporty powinien tworzyć pliki HTML oraz mieć możliwość stworzenia pliku index.html zawierającego łącza do wszystkich dotychczas stworzonych raportów. Powinien również mieć możliwość składowania raportu lokalnie na dysku twardym, wysyłania przy użyciu poczty elektronicznej lub przesłania na serwer FTP. 9) W przypadku wysyłania raportów przy użyciu poczty elektronicznej oprogramowanie powinno dawać możliwość spakowania raportu do pojedynczego archiwum. 10) Instalacja całego pakietu oprogramowania, w którego skład wchodzą: aplikacja do konfiguracji urządzenia, aplikacja do podglądu stanu w trybie rzeczywistym aplikacja do zarządzania logami moduł automatycznego generowania raportów serwer syslog (dla systemu operacyjnego Microsoft Windows 2000/XP/2003) serwer bazodanowy (preferowany PostgreSQL) powinna odbywać się przy użyciu jednego pliku instalacyjnego. POZOSTAŁE USŁUGI I FUNKCJE ROZWIĄZANIA 1) System operacyjny urządzenia powinien być oparty o jeden ze znanych systemów operacyjnych (preferowany system operacyjny z rodziny BSD). 2) Urządzenie posiada wbudowany serwer DHCP z możliwością przypisywania adresu IP do adresu MAC karty sieciowej stacji roboczej w sieci bez żadnych ograniczeń co do ilości klientów. 3) Urządzenie powinno być wyposażone w klienta usługi SNMP w wersji 1,2 i 3. 4) Restart urządzenia może być zabezpieczony poprzez zastosowanie fizycznego tokena USB. 5) Urządzenie oferuje możliwość skonfigurowania usługi dynamicznego DNS dzięki czemu klienci z dynamicznym adresem IP mogą korzystać ze stałej nazwy hosta/domeny. 6) Urządzenie powinno posiadać usługę klienta NTP. 7) Urządzenie powinno posiadać DNS Proxy. PARAMETRY SPRZĘTOWE 1) Urządzenie powinno być wyposażone w dysk twardy o pojemności co najmniej 40 Gb. Dysk powinien być podzielony na co najmniej 3 partycje. W tym dwie systemowe (umożliwiając tym samym start urządzenia z jednej z dwóch partycji) oraz jedną przeznaczoną na logi. 2) Liczba portów Ethernet 10/100 - 4. 3) Przepustowość Firewall-a wraz z włączonym systemem IPS wynosi 192 Mbps. 4) Minimalna przepustowość tunelu VPN przy szyfrowaniu AES wynosi 33 Mbps. 5)Maksymalna liczba tuneli VPN IPSec nie powinna być mniejsza niż 1000. 6) Możliwość zdefiniowania co najmniej 2 048 reguł filtrujących 7) Obsługa 64 VLAN-ów 8) Maksymalna liczba równoczesnych sesji wynosi 65 000. 9) Maksymalna ilość sesji WebVPN 256 10) Urządzenie jest nielimitowane na użytkowników. CERTYFIKATY Urządzenie posiada certyfikaty niezależnych organizacji min ICSA Lab i Common Cryteria EAL 2+ Wdrożenie Dostawca zobowiązany jest w terminie najpóźniej do 30 dni od momentu dostawy urządzeń do wykonania usługi wdrożenia, polegającej na skonfigurowaniu urządzeń zgodnie z wymogami Zamawiającego, w taki sposób aby zapewnić co najmniej taką funkcjonalność jak obecnie wykorzystywana przez Zamawiającego. Szkolenie administratorów Dostawca zobowiązany jest w terminie najpóźniej do 30 dni od momentu dostawy urządzeń, do wykonania usługi szkolenia 2 osób (administratorów) dostarczonych urządzeń wdrożonego systemu. Szkolenie musi obejmować kompleksową wiedzę z zakresu konfiguracji, administracji i monitoringu urządzeń w pełnym zakresie, ze szczególnym naciskiem na wdrożone funkcje. Szkolenie w wymiarze minimum 16 godzin zegarowych. Szkolenie może być przeprowadzone w siedzibie zamawiającego, dostawcy lub dystrybutora urządzeń (na terenie Polski). Szkolenie musi być prowadzone przez autoryzowanego przez producenta inżyniera. Dostawca zobowiązany jest do zapewnienia odpowiednich rozwiązań technicznych i organizacyjnych umożliwiających przeprowadzenie szkolenia. W przypadku szkolenia w siedzibie dostawcy lub dystrybutora koszty związane z transportem, ewentualnymi noclegami oraz koszty delegacji dla szkolonych pracowników pokrywa Zamawiający Opieka serwisowa Dostawca zobowiązany jest w terminie od momentu dostawy do dnia 31 grudnia 2008 roku zapewnić opiekę serwisową polegającą na świadczeniu wsparcia technicznego w zakresie obsługi, konfiguracji i administracji, w zależności od rodzaju wymaganej pomocy: telefonicznie, poprzez email, poprzez zdalny dostęp do urządzeń lub poprzez wizytę w miejscu instalacji urządzeń. Wsparcie realizowane będzie przez 7 dni w tygodniu. Zgłoszenia przyjmowanie będą w godzinach od 7:00 do 20:00 telefonicznie. Czas reakcji na zgłoszenie (podjęcie działań przez dostawcę) najpóźniej do 4 godzin od momentu zgłoszenia. Czas wykonania zleconych działań w zakresie konfiguracji: niezwłocznie, a w przypadku problemów konfiguracyjnych wymagających ingerencji producenta sprzętu - maksymalnie do 48 godzin w przypadku zgłoszeń od poniedziałku do czwartku i 72 godzin w przypadku zgłoszeń w piątki, soboty i niedziele. Termin realizacji zamówienia : - dostawa urządzeń - 7 dni od dnia podpisania umowy z wybranym Wykonawcą - wdrożenie (konfiguracja urządzeń) - 30 dni od dnia dostawy urządzeń stanowiących przedmiot postępowania, - szkolenie administratorów - 30 dni od dnia dostawy urządzeń stanowiących przedmiot postępowania, - opieka serwisowa do 31 grudnia 2008 r.

II.1.4) Wspólny Słownik Zamówień (CPV): Oryginalny kod CPV: 32.42.00.00 - Urządzenia sieciowe Kod CPV wg słownika 2008: 32.42.00.00 - Urządzenia sieciowe Oryginalny kod CPV: 72.26.50.00 - Usługi konfiguracji oprogramowania Kod CPV wg słownika 2008: 72.26.50.00 - Usługi konfiguracji oprogramowania Oryginalny kod CPV: 80.42.10.00 - Usługi szkolenia specjalistycznego Kod CPV wg słownika 2008: 80.51.00.00 - Usługi szkolenia specjalistycznego Oryginalny kod CPV: 72.26.70.00 - Usługi w zakresie serwisowania oprogramowania Kod CPV wg słownika 2008: 72.26.70.00 - Usługi w zakresie konserwacji i napraw oprogramowania .

II.1.5) Czy dopuszcza się złożenie oferty częściowej: Nie.

II.1.6) Czy dopuszcza się złożenie oferty wariantowej: Nie.

II.2) CZAS TRWANIA ZAMÓWIENIA LUB TERMIN WYKONANIA: data zakończenia: 31.12.2008.

SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM

III.1) WARUNKI DOTYCZĄCE ZAMÓWIENIA

• Informacja na temat wadium: Z uwagi na wartość przedmiotu zamówienia Zamawiający nie wymaga wniesienia wadium..

III.2) WARUNKI UDZIAŁU

• Opis warunków udziału w postępowaniu oraz opis sposobu dokonywania oceny spełniania tych warunków: 1. O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy: 1) spełniają warunki określone w art. 22 ust. 1 oraz nie zostaną wykluczeni z postępowania na postawie art. 24 ust.1 i 2 ustawy Prawo zamówień publicznych, 2) spełniają wymagania określone w specyfikacji istotnych warunków zamówienia. Warunki udziału w postępowaniu spełnią Wykonawcy, którzy przedłożą ważną ofertę wraz z oświadczeniem o spełnianiu warunków udziału w postępowaniu, dołączą do oferty dokumenty wskazane w pkt 12 ppkt 3 i 4, specyfikacji.
• Informacja o oświadczeniach i dokumentach, jakie mają dostarczyć wykonawcy w celu potwierdzenia spełniania warunków udziału w postępowaniu: Oferta musi zawierać: 1. Wypełniony formularz oferty, według wzoru stanowiącego zał. nr 1 do specyfikacji. 2. Oświadczenie Wykonawcy potwierdzające spełnianie wymagań określonych w art. 22 ust. 1, treść oświadczenia zawarta jest w zał. nr 2 do specyfikacji. 3. Oryginał lub kopię potwierdzoną za zgodność z oryginałem aktualnego odpisu z właściwego rejestru albo aktualnego zaświadczenia o wpisie do ewidencji działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub zgłoszenia do ewidencji działalności gospodarczej, wystawionego nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert. 4. W celu potwierdzenia, że oferowane urządzenia odpowiadają wymaganiom określonym przez Zamawiającego, Wykonawca musi dostarczyć opis parametrów technicznych i funkcji oferowanych urządzeń.

SEKCJA IV: PROCEDURA

IV.1) TRYB UDZIELENIA ZAMÓWIENIA

IV.1.1) Tryb udzielenia zamówienia: przetarg nieograniczony.

IV.2) KRYTERIA OCENY OFERT

IV.2.1) Kryteria oceny ofert: najniższa cena.

IV.2.2) Wykorzystana będzie aukcja elektroniczna: Nie.

IV.3) INFORMACJE ADMINISTRACYJNE

IV.3.1) Adres strony internetowej, na której dostępna jest specyfikacja istotnych warunków zamówienia: www.starostwo.nowy-sacz.pl

Specyfikację istotnych warunków zamówienia można uzyskać pod adresem: Starostwo Powiatowe w Nowym Sączu Wydział Administracyjny ul. Jagiellońska 33, (pok. 320) 33-300 Nowy Sącz.

IV.3.4) Termin składania wniosków o dopuszczenie do udziału w postępowaniu lub ofert: 26.05.2008 godzina 10:00, miejsce: Starostwo Powiatowe w Nowym Sączu Wydział Administracyjny ul. Jagiellońska 33, (Kancelaria Administracyjna pok.113) 33-300 Nowy Sącz.

IV.3.5) Termin związania ofertą: okres w dniach: 30 (od ostatecznego terminu składania ofert).